[디지털데일리 김보민기자] 개발자 환경을 기반으로 공급망 기반 공위협이 커지고 있다는 분석이 나왔다.

클라우드 보안정보이벤트관리(SIEM) 전문기업 로그프레소는 최근 확산 중인 '샤이 훌루드(Shai-Hulud)' 공급망 공격이 국내 개발자 환경에도 영향을 줄 수 있다고 28일 밝혔다.

'샤이 훌루드'는 프랭크 허버트(Frank Herbert) 공상과학(SF) 소설 '듄(Dune)'에 등장하는 거대 사막 벌레의 이름에서 따온 명칭이다. 감염된 개발자의 환경을 기반으로 다른 패키지에 자기 복제를 수행하는 공급망 기반 웜 악성코드다.

로그프레소는 최근 소프트웨어 공급망 공격이 급증하는 가운데, NPM(개발 패키지 관리자) 생태계를 노린 샤이 훌루드 웜의 대규모 공격이 연이어 확인되고 있다고 설명했다.

해당 악성코드는 정상적인 NPM 패키지로 위장해 설치된다는 특징이 있다. 개발자 PC의 크리덴셜·토큰을 수집해 깃허브(GitHub)에 자동 업로드하고, 감염된 NPM 패키지를 게시해 자가 복제하는 방식으로 동작한다. 현재까지 감염된 NPM 패키지 수는 700개 이상, 무단으로 생성되거나 침해된 것으로 파악되는 깃허브 저장소는 2만5000개 이상으로 파악된다.

로그프레소는 깃허브에 "Sha1-Hulud: The Second Coming." 설명 문구를 포함한 퍼블릭 저장소가 존재하거나, NPM 패키지를 설치한 뒤 PC·프로젝트에서 비정상 동작이 발생하는 경우 샤이 훌루드 공격일 가능성이 높다고 전했다.

공격이 의심되는 경우에는 즉각 보안 조치를 취해야 한다.

우선 악성코드가 저장소를 조작하거나 추가 공격을 수행할 수 없도록 깃허브의 PAT(GitHub Personal Access Token)를 즉시 파기해야 한다.

또한 깃허브에 생성된 퍼블릭 저장소 전체를 점검해 본인이 생성하지 않은 저장소는 삭제해야 한다. 이와 함께 최근 설치된 NPM 패키지를 확인해 잠재적 악성 패키지를 제거해야 하고, 악성코드가 감염된 패키지를 게시한 경우 NPM 레지스트리에서 삭제 조치해야 한다.

특히 조직 환경에서는 깃허브 감사 로그의 비정상 행위 탐지가 필수적이다.

로그프레소는 자사 블로그에 샤이 훌루드 공격의 패키지 설치 방식, 크리덴셜 탈취 로직, 깃허브 자동 생성·업로드 동작, 자기 복제 메커니즘 등을 분석한 기술 리포트 및 대응 가이드를 공개했다. 아울러 깃허브의 엔터프라이즈 감사 로그를 수집해 사용자가 의도하지 않은 퍼블릭 저장소 생성 여부를 탐지할 수 있도록 지원하고 있다.

또한 엑소스피어와 협력해 긴급 대응 업데이트를 배포하는 등, 엔드포인트·깃허브·클라우드 간 교차 위협을 탐지·연계하는 확장탐지및대응(XDR) 기반 대응 체계 강화에도 나섰다.

양봉열 로그프레소 대표는 "이번 공격은 개발자가 인지하지 못하는 사이에 자동으로 퍼지고 계정을 탈취한다는 점에서 특히 위험하다"며 "오픈 소스를 적극 활용하는 기업들은 이러한 공급망 공격 전략을 분석하고, 재발 방지를 위한 보안 대응 체계를 강화할 필요가 있다"고 강조했다.

한편 로그프레소는 개발자와 조직이 공급망 공격으로부터 보호될 수 있도록 분석 정보와 보안 조치 가이드를 제공하고, 관련 탐지 규칙과 대응 가이드를 업데이트할 계획이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -